Supply Chain атаки — главная угроза
SolarWinds, Codecov, Log4j, XZ Utils — взлом одного инструмента компрометирует тысячи компаний.
Чек-лист защиты
- Pin dependencies по хешам — версия может быть перезаписана, хеш нет
- Private registry — Nexus, Artifactory с проверкой сигнатур
- Self-hosted runners — ephemeral containers на каждый job
- Least-privilege токены — минимум прав, автоматическая ротация
- SAST/DAST в каждом PR — блокировка merge при критических находках
Инструменты
Snyk — SCA + контейнеры, платный
Trivy — контейнеры + IaC, бесплатный
Semgrep — SAST с custom rules
Cosign — подпись артефактов
Главное правило
Не доверяйте ничему по умолчанию. Каждый этап pipeline должен верифицировать входные данные.